Valikko
KotiTekniikka

Kuinka asettaa palomuuri Internetin jakelua varten. Windowsin palomuuriasetukset. Verkkoyhteys palomuurin asetuksissa. Miksi palomuuri estää Internetin käytön?

2 ääntä

Hyvää päivää, rakkaat blogini lukijat. Tänään poikkean hieman päätehtävästäni. Emme puhu rahan ansaitsemisesta Internetissä, mutta keskustelemme yhdestä erittäin tärkeästä asiasta. Puhutaanpa lasten suojaamisesta haitallisilta sivustoilta, peleiltä ja sovelluksilta.

Tästä artikkelista opit asettamaan lapsilukon Internetissä, näytän videon siitä, kuinka suojella lapsiasi tietokoneen haitallisilta vaikutuksilta. Kerron minkä puhelimen pitäisi ostaa pienille ja laitan lukon niin, ettei kukaan edes arvaa, että jokin on heille kiellettyä.

Lapsilukko Windowsissa

Jos sinulla on Windows 7, kuten minulla, voit kieltää tiettyjen ohjelmien, pelien käytön ja määrittää ajan, jolloin lapset voivat olla tietokoneen ääressä.

Jos joudut kieltämään paitsi itse tietokoneen, myös Internetin käytön, sinun on ladattava lisälaajennuksia Microsoftin viralliselta verkkosivustolta, jonka avulla voit lisätä ohjausominaisuuksia. Se on ilmainen.

Jos et jostain syystä pidä tästä menetelmästä, voit asentaa toisen lisäohjelman. Joka tapauksessa sinun on kuitenkin ensin opittava luomaan lisää käyttäjätilejä. Selvitetään tämä nopeasti.

Luo uusi tili

Luo uusi tili siirtymällä ohjauspaneeliin. Sitä tarvitaan vain lasten ohjaamiseen, eikä sinulla ole ongelmia, kun käytät kannettavaa tietokonetta itse.

Avaa nyt "Parental Controls" -välilehti.

Ja luo uusi tili.

Tätä tiliä varten ei tarvitse käyttää . Vain sinä (järjestelmänvalvoja) tarvitset sitä, jotta teini-ikäiset eivät voi murtautua järjestelmään ja muuttaa olosuhteita mukavampiin.

Valitsetko valintaruudun vai ei, on sinun ja luultavasti lapsesi päätettävissä. Kun olet syöttänyt nimen, napsauta "Luo".

Valmis. Asetetaan se nyt.

Määräaika

Jotta voit ottaa käyttöön lisäasetuksia, sinun on mentävä jälkeläisille luodulle tilille. Klikkaa sitä.

OK, nyt kaikki on ohi. Olet siellä, missä sinun tulee olla. Ota lapsilukko käyttöön avautuvan ikkunan yläosassa.

Ilman lisäohjelmia voit rajoittaa lapsesi aikaa, pelejä ja sovelluksia. Napsauta ensimmäistä vaihtoehtoa.

Ole varovainen, merkitset sinisellä ajan, jolloin hän ei voi olla tietokoneen ääressä. Kun olet valmis, sinun tarvitsee vain napsauttaa "OK" ja olet valmis.

Pelikielto

Seuranta- ja ohjausohjelmat

Jos et jostain syystä halua asentaa Windows Liveä, mutta sinun on kiellettävä se, tarjoan sinulle ohjelman KidsControl. Sen ansiosta voit myös estää pääsyn ei-toivottuihin resursseihin, harjoittaa ajanhallintaa ja nähdä, millä sivustoilla lapsesi on käynyt.

Itse sovelluksen toiminta ei ole havaittavissa, ja kun käytät kiellettyä resurssia, sivusto näyttää 404-virheilmoituksen "Palvelinta ei löydy" tai "Sivu ei ole käytettävissä". Apuohjelma on shareware. Sinulla on 14 päivää aikaa käyttää sitä ilmaiseksi, ja sitten joudut maksamaan käytöstä 870 ruplaa.

Käyttääksesi sitä, sinun, kuten ensimmäisessä tapauksessa, on luotava useita tilejä, myös lapselle. Luulen, että tästä ei tule niin suurta ongelmaa. KidsControl avautuu vain, kun järjestelmä käynnistyy ja kirjaudut sisään (ensimmäiseltä) tililtäsi, josta julkaisu tehtiin.

Jatkossa kukaan ei ymmärrä, että sinulla on tämä ohjelma tietokoneessasi. Avataksesi sen, sinun on käynnistettävä käyttöjärjestelmä uudelleen. Se on hassua, mutta edes kaikkialla läsnä oleva ei näe häntä, eli jopa uteliaan teini-ikäisen on vaikea päästä hänen luokseen.

Joten lataa ohjelma ja käynnistä järjestelmä uudelleen. Tämä avaa ikkunan, jossa voit tehdä asetuksia.

Kuten näet, täällä on kaksi tiliä: järjestelmänvalvoja, ohjelman ladannut ja kaikki oikeudet omaava henkilö sekä kaikki muut.

Voit luoda useita käyttäjiä, joilla on pääsy tähän ohjelmaan. Kaikkia ei tarvitse rajoittaa.

Mustalle listalle tulee sivustoja, joihin lapsen pääsy on kielletty.

Ohjelma itse määrittää kielletyt resurssit. Siinä on sisäänrakennettu tietokanta, jossa on automaattinen päivitysjärjestelmä, joka valvoo ajoittain Internetiä ja lisää lapsille sopimattomia sivustoja.

Jos haluat, "Kielletyt tiedostot" -välilehti estää tiettyjen tiedostojen lataamisen: musiikkia, videoita ja ohjelmia.

No, käyttöaikataulu ei salli lapsesi käyttää tietokonetta aikana, jota ei ole tarkoitettu tähän tarkoitukseen.

Siinä kaikki. Nyt tiedät kuinka suojata lastasi tietokoneelta. Mennäänkö puhelimeen?

Lapsilukko puhelimessa pienille

Ensinnäkin haluaisin puhua teille pienten suojelusta. Niiden tapauksessa suosittelen, että et asenna suojausta Internetiin tai puhelimeen, vaan ostat BB-mobiili . Sinä itse lisäät siihen puhelinnumeroita, joihin vauva voi soittaa ja kirjoittaa tekstiviestejä.

Siinä ei ole monimutkaisia ​​painikkeita tai tarpeettomia lisätoimintoja. Voit milloin tahansa painaa paria painiketta ja saada kartan, jossa on vauvasi tarkka sijainti. Samalla tavalla voit käyttää vauvasi matkapuhelinta puhelimestasi ja käynnistää äänilähetyksen ympärilläsi tapahtuvasta. Puhelin soittaa sinulle takaisin automaattisesti ilman lapsen osallistumista.

Mitä tulee pieniin, tämä asia on yksinkertaisesti korvaamaton.

Tietenkin harvinainen toisella tai kolmannella luokalla oleva lapsi kävelee rauhallisesti BB-matkapuhelimen kanssa eikä raivoa pyytäen ostamaan hienon puhelimen. Puhumme yhdessä tulevista artikkeleista kuinka työskennellä tabletin ja puhelimen kanssa Androidissa. Tilaa uutiskirje, jotta et jää paitsi.

Nähdään taas ja onnea pyrkimyksiinne.

Sisältää useita suojausominaisuuksia, jotka pitävät tietokoneesi turvassa ja suojaavat tietojasi haittaohjelmilta ja hakkereilta. Yksi tällainen ominaisuus on Windowsin palomuuri, joka auttaa estämään luvattoman pääsyn tietokoneellesi ja estämään mahdolliset haitalliset sovellukset.

Vaikka palomuuri toimii sujuvasti ja luotettavasti suurimman osan ajasta, saatat joskus kohdata ongelmia. Esimerkiksi palomuuripalvelut eivät välttämättä käynnisty tai voi tapahtua virhe 80070424 tai palveluvirhe 5 (0x5). Lisäksi joskus sovellukset tai ominaisuudet, kuten Remote Assistant, voivat menettää pääsyn jaettuihin tiedostoihin ja tulostimiin, koska järjestelmän palomuuri estää ne vahingossa.

Jos kohtaat jonkin näistä tai vastaavista ongelmista, voit suorittaa useita vaiheita. Voit käyttää Windowsin palomuurin vianmääritystä, joka on automaattinen työkalu, joka tarkistaa ja korjaa yleisiä ongelmia. On myös mahdollista palauttaa palomuuri oletusasetuksiin ja hallita palomuurin estämien sovellusten verkkokäyttöä manuaalisesti.

Voit diagnosoida ja korjata palomuuriongelmia seuraavasti:

  1. Lataa Windows Firewall Troubleshooter Microsoftilta.
  2. Suorita tiedosto Windows Firewall.diagcab kaksoisnapsauttamalla sitä.
  3. Napsauta Seuraava.
  4. Valitse hakutuloksista riippuen vaihtoehto, joka korjaa ongelman.
  5. Jos kaikki toimi onnistuneesti, napsauta "Sulje" -painiketta suorittaaksesi vianmäärityksen loppuun.

Jos työkalu ei korjaa ongelmaa, napsauta Näytä lisätietoja -linkkiä nähdäksesi yksityiskohtaiset tiedot kaikista ongelmista, joita se yritti korjata, mukaan lukien tiedostojen ja tulostimien jakaminen, etäavustajan ongelmat ja palomuuripalvelut.

Voit sitten löytää lisätietoja ongelmasta hakukoneiden avulla tai pyytää apua alla olevista kommenteista.

Jos Windowsin palomuurin vianmääritys ei havaitse ongelmaa, se liittyy todennäköisesti järjestelmän tiettyyn asetukseen. Tässä skenaariossa voit yrittää poistaa nykyisen kokoonpanon ja palauttaa asetukset oletusasetuksiin.

Tärkeä: Kun olet palauttanut oletusasetukset, saatat joutua määrittämään uudelleen sovellukset, jotka pyytävät verkkoon pääsyä palomuurin kautta.

Voit palauttaa palomuuriasetukset oletusasetuksiin seuraavasti:

  1. Valitse vasemmanpuoleisesta valikosta "Palauta oletukset".
  2. Napsauta "Palauta oletukset" -painiketta.
  3. Napsauta "Kyllä" vahvistaaksesi toiminnon.

Kun olet suorittanut nämä vaiheet, oletussäännöt ja -asetukset palautetaan ja kaikki määritysongelmat ratkaistaan.

Jos ongelmana on, että sovelluksia estetään vahingossa, voit sallia sovellusten pääsyn verkkoon seuraavien vaiheiden avulla.

  1. Avaa Ohjauspaneeli (paina Windows-näppäintä ja kirjoita "Ohjauspaneeli").
  2. Valitse "Järjestelmä ja suojaus".
  3. Napsauta "Windowsin palomuuri" -osaa.
  4. Valitse vasemmanpuoleisesta valikosta vaihtoehto "Salli sovelluksen tai ominaisuuden olla vuorovaikutuksessa Windowsin palomuurin kanssa".
  5. Valitse "Muuta asetuksia" käyttämällä laitteen järjestelmänvalvojan tiliä.
  6. Valitse sovellus tai palvelu, jonka haluat sallia.
  7. Valitse verkkotyyppi "Yksityinen", jos sovelluksen on käytettävä vain paikallisverkkoa, tai "Julkinen", jos sovelluksen on kommunikoitava Internetiin.
  8. Napsauta OK.

Neuvoja: Jos sovellukset tai ominaisuudet eivät näy luettelossa, napsauta "Salli toinen sovellus" -painiketta lisätäksesi sen luetteloon.

Näiden ohjeiden avulla voit määrittää sovelluksia uudelleen, kun olet palauttanut Windowsin palomuurin oletusasetuksiin.

Vaikka käytimme tässä esimerkissä Windows 10:tä, voit käyttää samoja ohjeita palomuuriongelmien vianmääritykseen Windows 8.1:ssä ja Windows 7:ssä.

Löysitkö kirjoitusvirheen? Korosta ja paina Ctrl + Enter

Tavallisen palomuurin lisäksi käyttöjärjestelmässä on ylimääräinen palomuuri - Windowsin palomuuri, jossa on lisäsuojaus. Pohjimmiltaan tämä on sama henkilö. Niiden ainoa ero on, että ensimmäinen tarjoaa käyttäjälle melko rajalliset vaihtoehdot palomuurin sääntöjen määrittämiseen. Mutta nämä ominaisuudet ovat enemmän kuin tarpeeksi suurimmalle käyttäjäjoukolle, joista useimmat eivät ole koskaan edes nähneet tätä. Esimerkiksi tavallisen palomuurin toiminnallisuus on myös täydellinen. Mutta kehittyneemmille käyttäjille, jotka tarvitsevat joustavampia palomuurin sääntöjä, luotiin Windowsin palomuuri, jossa on lisäsuojaus.

Kuinka avata Windowsin palomuuri lisäsuojauksella

Voit tehdä tämän käyttämällä yhtä useista tavoista. Kuvailen niistä kolmea:

  1. On typerää kirjoittaa tämän työkalun nimi hakuun.
  2. Seuraa polkua Ohjauspaneeli\Järjestelmä ja suojaus\Windowsin palomuuri ja paina painiketta Lisävaihtoehdot.
  3. Avaa MMC-konsoli ja lisää siihen tarvittava työkalu. Suorita se sitten sieltä.

Monet ihmiset kysyvät myös kysymyksen "Kuinka palomuuri poistetaan käytöstä edistyneessä suojaustilassa". Joten, kuten jo sanoin, nämä kaksi työkalua ovat sama henkilö, vain niiden toiminnallisuus eroaa. Siksi olisi oikein kysyä seuraava kysymys: "Kuinka Windowsin palomuuri poistetaan käytöstä." Ja tehdäksesi tämän, tarvitset Windowsin palomuuri-ikkunassa Ota Windowsin palomuuri päälle tai pois -painikkeen.

Windowsin palomuurin ominaisuudet lisäsuojauksella

Windowsin palomuuri, jossa on lisäsuojaus, antaa sinun luoda seuraavat säännöt:

  1. Määritä säännöt erikseen sekä saapuvalle että lähtevälle liikenteelle.
  2. Luo palomuurisääntöjä eri protokollien ja porttien perusteella.
  3. Määritä säännöt tiedonvaihdolle palveluiden verkon kanssa. Haluan muistuttaa, että Windowsin palomuuri sallii vain sovellusten sääntöjen määrittämisen.
  4. Luodut säännöt voivat koskea vain tiettyjä verkon IP-osoitteita.
  5. Vain valtuutetun liikenteen ohittaminen on mahdollista.
  6. Määritä yhteyden suojaussäännöt.

Kuinka luoda palomuurisääntö saapuvan tai lähtevän liikenteen perusteella?

Jos haluat luoda palomuurisäännön vain saapuvalle liikenteelle tai vain lähtevälle liikenteelle, sinun on avattava Windowsin palomuuri lisäsuojaustilassa. Avautuvassa ikkunassa näet useita konsolipuun solmuja. Tarvitsemamme solmut on nimetty Säännöt saapuville yhteyksille Ja Lähtevän yhteyden säännöt, vastaavasti. Kun napsautat jotakin näistä solmuista hiiren kakkospainikkeella, esiin tulee kontekstivalikko. Olemme kiinnostuneita ensimmäisestä komennosta nimellä Luo sääntö. Napsauta tätä painiketta, siirryt ikkunaan, jossa voit luoda säännön, joka sinun on luotava itse toiveidesi perusteella. Täällä sinua pyydetään määrittämään luotavan säännön sidontatyyppi, mukaan lukien:

  • Ohjelmaa varten
  • Portille
  • Ennalta määrätty
  • Muokattava
Säännön luominen ohjelmalle (sovellukselle)

Voit sallia tai poistaa käytöstä verkkoyhteyden tietylle sovellukselle, jos pääset ikkunaan, johon pysähdyimme edellisessä kappaleessa. Tämän jälkeen sinun on valittava kohde Ohjelmaa varten. Seuraavassa ikkunassa on valittava joko kaikki ohjelmat tai tietty ohjelma.

Luo palomuurisääntö portille

Portin säännön luontiprosessi on sama kuin sovelluksen säännön luontiprosessi. Ainoa ero on, että tässä tapauksessa sinun on valittava toinen nimike Portille. Tämän säännön avulla voit avata tai sulkea portin TCP- tai UDP-protokollaa varten. Siksi seuraavassa ikkunassa sinun on valittava protokolla ja portti, jolle aiot luoda säännön.

Aktivoidaan ennalta määritettyjä Windowsin palomuurisääntöjä

Windowsissa on jo useita kymmeniä oletusarvoisesti luotuja sääntöjä, joita voi melko usein soveltaa sekä käyttäjä että käyttöjärjestelmä. Nähdäksesi ja aktivoidaksesi nämä säännöt sinun on valittava kolmas kohde - Ennalta määrätty. Näitä sääntöjä ei ole aktivoitu oletusarvoisesti, mutta ne voidaan aktivoida milloin tahansa. Nämä säännöt ovat hyödyllisiä, kun käyttäjä haluaa käyttää esimerkiksi jotakin Windows-toimintoa tai käyttää . Näiden toimintojen aktivoimiseksi käyttäjän on suoritettava tiettyjä toimintoja (joiden kuvaus ei sisälly tähän artikkeliin). Kun näitä toimintoja määritetään, käyttöjärjestelmä lähettää Windowsin palomuurille signaalin, että on aktivoitava ennalta määritettyjen sääntöjen paketti. Mitä tulee tapahtumaan. Vian sattuessa tai omasta aloitteestaan ​​käyttäjä voi tehdä tämän manuaalisesti.

Mukautetut palomuurisäännöt

Ja lopuksi kehittyneimmät säännöt: mukautettavat. Kohde, jolla on täsmälleen tämä nimi, on valittava, jotta voidaan määrittää sääntö tietylle sovellukselle, joka käyttää tiettyä porttia, ja rajoittaa tämän säännön soveltamista tiettyihin portteihin. Tämä tarkoittaa, että käyttäjällä on täydellisin pääsy sääntöjen luomiseen, mistä Windowsin palomuuri ja Advanced Security on kuuluisa.

Salli tai estä yhteydet ja valitse verkkotyypit

Edellä luetellut neljä palomuurisäännön luomis- ja sitomismenetelmää eivät pääty siihen, mihin ne kuvailin. Jokaiselle kuvatulle menetelmälle suoritettavien vaiheiden jälkeen sinun on valittava kaksi lisäasetusta:

  1. Salli tai estä viestintä valitulle sääntötyypille.
  2. Valitse verkkotyypit(), joihin valitut säännöt koskevat.

Ensimmäisessä ikkunassa sinun on joko sallittava liikenne kokonaan, sallittava vain suojattu liikenne tai estettävä liikenne kokonaan. Toisessa ja viimeisessä ikkunassa sinun on valittava valintaruudut kolmen verkkotyypin vieressä. Valintamerkki verkon vieressä tarkoittaa, että tätä sääntöä sovelletaan tämän tyyppisessä verkossa.

Tämän upean toiminnallisuuden tarjoaa käyttäjilleen Windows-käyttöjärjestelmä yhtä erinomaisen työkalun muodossa nimeltä Windows Firewall with Advanced Security.

Windows Vista™ Microsoft Management Console (MMC) -laajennus on työasemien verkon tunnistava palomuuri, joka suodattaa saapuvat ja lähtevät yhteydet määritettyjen asetusten perusteella. Voit nyt määrittää palomuuri- ja IPsec-asetukset yhdellä laajennuksella. Tässä artikkelissa kuvataan Windowsin palomuuri ja lisäsuojaus, yleiset ongelmat ja ratkaisut.

Kuinka Windowsin palomuuri lisäsuojauksella toimii

Windowsin palomuuri, jossa on lisäsuojaus, on verkon tilan kirjaava palomuuri työasemille. Toisin kuin reitittimen palomuurit, jotka otetaan käyttöön paikallisen verkon ja Internetin välisessä yhdyskäytävässä, Windowsin palomuuri on suunniteltu toimimaan yksittäisissä tietokoneissa. Se valvoo vain työaseman liikennettä: kyseisen tietokoneen IP-osoitteeseen tulevaa liikennettä ja itse tietokoneesta lähtevää liikennettä. Windowsin palomuuri, jossa on lisäsuojaus, suorittaa seuraavat perustoiminnot:

    Saapuva paketti tarkistetaan ja sitä verrataan sallitun liikenteen luetteloon. Jos paketti vastaa jotakin luettelon arvoista, Windowsin palomuuri välittää paketin TCP/IP:lle jatkokäsittelyä varten. Jos paketti ei vastaa mitään luettelossa olevista arvoista, Windowsin palomuuri estää paketin ja, jos kirjaus on käytössä, luo merkinnän lokitiedostoon.

Sallitun liikenteen luettelo muodostetaan kahdella tavalla:

    Kun Windowsin lisäsuojauksella varustetun palomuurin hallitsema yhteys lähettää paketin, palomuuri luo luetteloon arvon, joka sallii paluuliikenteen hyväksymisen. Asiaankuuluva saapuva liikenne vaatii lisäluvan.

    Kun luot sallimissäännön Windowsin palomuurille, jossa on lisäsuojaus, liikenne, jolle loit säännön, sallitaan Windows-palomuuria käyttävässä tietokoneessa. Tämä tietokone hyväksyy nimenomaisesti sallitun saapuvan liikenteen, kun se toimii palvelimena, asiakastietokoneena tai vertaisverkkoisäntänä.

Ensimmäinen askel Windowsin palomuurin ongelmien ratkaisemiseksi on tarkistaa, mikä profiili on aktiivinen. Windowsin palomuuri lisäsuojauksella on sovellus, joka valvoo verkkoympäristöäsi. Windowsin palomuuriprofiili muuttuu verkkoympäristösi muuttuessa. Profiili on joukko asetuksia ja sääntöjä, joita sovelletaan verkkoympäristön ja olemassa olevien verkkoyhteyksien mukaan.

Palomuuri erottaa kolmen tyyppiset verkkoympäristöt: domain, julkiset ja yksityiset verkot. Toimialue on verkkoympäristö, jossa toimialueen ohjain todentaa yhteydet. Oletuksena kaikkia muita verkkoyhteystyyppejä käsitellään julkisina verkkoina. Kun uusi yhteys havaitaan, Windows Vista kehottaa käyttäjää ilmoittamaan, onko verkko yksityinen vai julkinen. Yleisprofiili on tarkoitettu käytettäväksi julkisilla paikoilla, kuten lentokentillä tai kahviloissa. Yksityinen profiili on tarkoitettu käytettäväksi kotona tai toimistossa sekä suojatussa verkossa. Jotta verkko voidaan määrittää yksityiseksi, käyttäjällä on oltava asianmukaiset järjestelmänvalvojan oikeudet.

Vaikka tietokone voidaan yhdistää erityyppisiin verkkoihin samanaikaisesti, vain yksi profiili voi olla aktiivinen. Aktiivisen profiilin valinta riippuu seuraavista syistä:

    Jos kaikki liitännät käyttävät toimialueen ohjaimen todennusta, toimialueen profiilia käytetään.

    Jos vähintään yksi liitännöistä on kytketty yksityiseen verkkoon ja kaikki muut ovat yhteydessä toimialueeseen tai yksityisiin verkkoihin, käytetään yksityistä profiilia.

    Kaikissa muissa tapauksissa käytetään yleistä profiilia.

Määritä aktiivinen profiili napsauttamalla solmua Havainto hetkessä Windowsin palomuuri lisäsuojauksella. Tekstin yläpuolella Palomuurin tila ilmaisee, mikä profiili on aktiivinen. Jos esimerkiksi verkkotunnuksen profiili on aktiivinen, se näkyy yläreunassa Domain-profiili on aktiivinen.

Käyttämällä profiileja Windowsin palomuuri voi automaattisesti sallia saapuvan liikenteen tietyille tietokoneen hallintatyökaluille, kun tietokone on toimialueella, ja estää saman liikenteen, kun tietokone on yhdistetty julkiseen tai yksityiseen verkkoon. Näin ollen verkkoympäristön tyypin määrittäminen varmistaa paikallisverkkosi suojauksen vaarantamatta mobiilikäyttäjien turvallisuutta.

Yleisiä ongelmia käytettäessä Windowsin palomuuria lisäsuojauksella

Seuraavat ovat tärkeimmät ongelmat, jotka ilmenevät, kun Windowsin palomuuri lisäsuojauksella on käynnissä:

Jos liikenne estetään, tarkista ensin, onko palomuuri käytössä ja mikä profiili on aktiivinen. Jos jokin sovelluksista on estetty, varmista, että laajennus Windowsin palomuuri lisäsuojauksella Nykyiselle profiilille on aktiivinen sallimissääntö. Varmista, että salliva sääntö on olemassa, kaksoisnapsauttamalla solmua Havainto ja valitse sitten osio Palomuuri. Jos tälle ohjelmalle ei ole aktiivisia sallivia sääntöjä, siirry sivustolle ja luo uusi sääntö tälle ohjelmalle. Luo sääntö ohjelmalle tai palvelulle tai määritä sääntöryhmä, joka koskee tätä ominaisuutta, ja varmista, että kaikki kyseisen ryhmän säännöt ovat käytössä.

Voit varmistaa, että estosäännöt eivät ohita sallivaa sääntöä seuraavasti:

    Snap-puussa Windowsin palomuuri lisäsuojauksella napsauta solmua Havainto ja valitse sitten osio Palomuuri.

    Näytä luettelo kaikista aktiivisista paikallisista ja ryhmäkäytännöistä. Kiellettävät säännöt ohittavat sallivat säännöt, vaikka viimeksi mainitut olisi määritelty tarkemmin.

Ryhmäkäytäntö estää paikallisten sääntöjen soveltamisen

Jos Windowsin palomuuri lisäsuojauksella on määritetty ryhmäkäytännön avulla, järjestelmänvalvojasi voi määrittää, käytetäänkö palomuurisääntöjä vai paikallisten järjestelmänvalvojien luomia yhteyden suojaussääntöjä. Tämä on järkevää, jos on määritetty paikallisia palomuurisääntöjä tai yhteyden suojaussääntöjä, joita ei ole asetusten vastaavassa osiossa.

Voit selvittää, miksi paikalliset palomuurisäännöt tai yhteyden suojaussäännöt puuttuvat Valvonta-osiosta, toimimalla seuraavasti:

    Heti Windowsin palomuuri lisäsuojauksella, napsauta linkkiä Windowsin palomuurin ominaisuudet.

    Valitse aktiivisen profiilin välilehti.

    Luvussa Vaihtoehdot, painaa nappia Virittää.

    Jos paikalliset säännöt ovat voimassa, kohta Sääntöjen yhdistäminen tulee olemaan aktiivinen.

Suojattuja yhteyksiä vaativat säännöt voivat estää liikenteen

Kun luot palomuurisääntöä tulevalle tai lähtevälle liikenteelle, yksi parametreista on . Jos valitset tämän ominaisuuden, sinulla on oltava asianmukainen yhteyden suojaussääntö tai erillinen IPSec-käytäntö, joka määrittää, mikä liikenne on turvallista. Muuten tämä liikenne on estetty.

Voit varmistaa, että yksi tai useampi sovellussääntö edellyttää suojattuja yhteyksiä, seuraavasti:

    Snap-puussa Windowsin palomuuri lisäsuojauksella napsauta osiota Säännöt saapuville yhteyksille. Valitse tarkistettava sääntö ja napsauta linkkiä Ominaisuudet konsolin laajuudessa.

    Valitse välilehti Ovat yleisiä ja tarkista, onko valintanapin arvo valittu Salli vain turvalliset yhteydet.

    Jos sääntö on määritetty parametrilla Salli vain turvalliset yhteydet, laajenna osio Havainto laajennuspuussa ja valitse osio. Varmista, että palomuurisäännössä määritellyllä liikenteellä on asianmukaiset yhteyden suojaussäännöt.

    Varoitus:

    Jos sinulla on aktiivinen IPSec-käytäntö, varmista, että käytäntö suojaa tarvittavaa liikennettä. Älä luo yhteyden suojaussääntöjä välttääksesi ristiriitaiset IPSec-käytännöt ja yhteyden suojaussäännöt.

Lähteviä yhteyksiä ei voida sallia

    Snap-puussa Windowsin palomuuri lisäsuojauksella Valitse osio Havainto. Valitse aktiivisen profiilin välilehti ja -osiossa Palomuurin tila tarkista, että lähtevät yhteydet, jotka eivät kuulu sallimissäännön piiriin, ovat sallittuja.

    Luvussa Havainto Valitse osio Palomuuri varmistaaksesi, että vaadittuja lähteviä yhteyksiä ei ole määritelty estosäännöissä.

Sekalaiset käytännöt voivat johtaa liikenteen estämiseen

Voit määrittää palomuuri- ja IPSec-asetukset käyttämällä erilaisia ​​Windows-käyttöliittymiä.

Käytäntöjen luominen useisiin paikkoihin voi johtaa konflikteihin ja liikenteen estymiseen. Seuraavat asetuspisteet ovat käytettävissä:

    Windowsin palomuuri lisäsuojauksella. Tämä käytäntö on määritetty käyttämällä asianmukaista laajennusta paikallisesti tai osana ryhmäkäytäntöä. Tämä käytäntö määrittää palomuuri- ja IPSec-asetukset tietokoneissa, joissa on Windows Vista.

    Windowsin palomuurin hallintamalli. Tämä käytäntö on määritetty käyttämällä osiossa olevaa ryhmäkäytäntöobjektieditoria. Tämä käyttöliittymä sisältää Windowsin palomuuriasetukset, jotka olivat saatavilla ennen Windows Vistaa, ja sitä käytetään Windowsin aiempia versioita hallitsevan ryhmäryhmän konfigurointiin. Vaikka näitä asetuksia voidaan käyttää tietokoneissa, joissa on Windows Vista, suosittelemme, että käytät käytäntöä sen sijaan Windowsin palomuuri lisäsuojauksella, koska se tarjoaa enemmän joustavuutta ja turvallisuutta. Huomaa, että jotkin toimialueen profiilin asetuksista ovat yhteisiä Windowsin palomuurin hallintamallille ja käytännölle Windowsin palomuuri lisäsuojauksella, joten näet tässä laajennuksen avulla toimialueen profiilissa määritetyt parametrit Windowsin palomuuri lisäsuojauksella.

    IPSec-käytännöt. Tämä käytäntö on määritetty paikallisen laajennuksen avulla IPSec-käytäntöjen hallinta tai Ryhmäkäytäntöobjektieditori kohdassa Computer Configuration\Windows Configuration\Security Settings\IP Security Policies (Paikallinen tietokone). Tämä käytäntö määrittää IPSec-asetukset, joita voidaan käyttää sekä Windowsin että Windows Vistan aiemmissa versioissa. Tätä käytäntöä ja käytännössä määritettyjä yhteyden suojaussääntöjä ei tule soveltaa samanaikaisesti samassa tietokoneessa Windowsin palomuuri lisäsuojauksella.

Näet kaikki nämä vaihtoehdot asianmukaisissa laajennuksissa luomalla oman hallintakonsolin laajennuksen ja lisäämällä siihen laajennukset Windowsin palomuuri lisäsuojauksella, Ja IP-suojaus.

Voit luoda oman hallintakonsolin laajennuksen seuraavasti:

    Napsauta painiketta alkaa, siirry valikkoon Kaikki ohjelmat, sitten valikkoon Vakio ja valitse Suorittaa.

    Tekstikentässä Avata TULLA SISÄÄN.

    Jatkaa.

    valikossa Konsoli Valitse tavara.

    Listalla Saatavilla lisävarusteita valitse varusteet Windowsin palomuuri lisäsuojauksella ja paina painiketta Lisätä.

    Napsauta painiketta OK.

    Toista vaiheet 1–6 lisätäksesi napsautuksia Ryhmäpolitiikan hallinta Ja IP Security Monitor.

Voit tarkistaa, mitkä käytännöt ovat aktiivisia aktiivisessa profiilissa, seuraavasti:

Voit tarkistaa, mitä käytäntöjä sovelletaan, seuraavasti:

    Kirjoita komentokehotteeseen mmc ja paina -näppäintä TULLA SISÄÄN.

    Jos Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, vahvista pyydetyt toiminnot ja napsauta Jatkaa.

    valikossa Konsoli Valitse tavara Lisää tai poista laajennus.

    Listalla Saatavilla lisävarusteita valitse varusteet Ryhmäpolitiikan hallinta ja paina painiketta Lisätä.

    Napsauta painiketta OK.

    Laajenna puun solmu (yleensä sen metsän puu, jossa tietokone sijaitsee) ja kaksoisnapsauta osaa konsolin tietoruudussa.

    Valitse valintanapin arvo Näytä käytäntöasetukset kohteelle arvoista nykyinen käyttäjä tai toinen käyttäjä. Jos et halua näyttää käytäntöasetuksia käyttäjille, vaan vain tietokoneen käytäntöasetuksia, valitse valintanappi Älä näytä käyttäjäkäytäntöä (katso vain tietokonekäytäntö) ja paina painiketta kahdesti Edelleen.

    Napsauta painiketta Valmis. Ohjattu ryhmäkäytännön tulostoiminto luo raportin konsolin tietoruutuun. Raportti sisältää välilehtiä Yhteenveto, Vaihtoehdot Ja Poliittiset tapahtumat.

    Varmista raportin luomisen jälkeen, ettei IP-suojauskäytäntöjen kanssa ole ristiriitaa, valitsemalla välilehti Vaihtoehdot ja avaa Active Directory -hakemistopalvelussa Computer Configuration\Windows Configuration\Security Settings\IP Security Settings. Jos viimeinen osa puuttuu, IP-suojauskäytäntöä ei ole asetettu. Muussa tapauksessa näytetään käytännön nimi ja kuvaus sekä ryhmäryhmäobjekti, johon se kuuluu. Jos käytät IP-suojauskäytäntöä ja Windowsin lisäsuojauskäytäntöä samanaikaisesti yhteyden suojaussääntöjen kanssa, nämä käytännöt voivat olla ristiriidassa keskenään. On suositeltavaa käyttää vain yhtä näistä käytännöistä. Optimaalinen ratkaisu on käyttää IP-suojauskäytäntöjä yhdessä Windowsin palomuurin kanssa Advanced Security -säännöillä tulevalle tai lähtevälle liikenteelle. Jos parametrit on määritetty eri paikoissa eivätkä ne ole keskenään johdonmukaisia, saattaa syntyä käytäntöristiriitoja, joita on vaikea ratkaista.

    Myös paikallisissa ryhmäkäytäntöobjekteissa määritettyjen käytäntöjen ja IT-osaston määrittämien komentosarjojen välillä voi olla ristiriitoja. Tarkista kaikki IP-suojauskäytännöt IP Security Monitor -ohjelmalla tai kirjoittamalla seuraava komento komentokehotteeseen:

    Voit tarkastella Windowsin palomuurin hallintamallissa määritettyjä asetuksia laajentamalla osion Tietokoneen asetukset\Hallintamallit\Verkko\Verkkoyhteydet\Windowsin palomuuri.

    Voit tarkastella viimeisimmät nykyiseen käytäntöön liittyvät tapahtumat siirtymällä välilehteen Politiikkatapahtumat samassa konsolissa.

    Jos haluat tarkastella Windowsin palomuurin ja lisäsuojauksen käyttämää käytäntöä, avaa laajennus diagnosoitavassa tietokoneessa ja tarkista asetukset kohdassa Havainto.

Voit tarkastella hallintamalleja avaamalla laajennuksen Ryhmäpolitiikka ja osiossa Ryhmäkäytännön tulokset Tarkista, onko ryhmäkäytännöstä perittyjä asetuksia, jotka voivat aiheuttaa liikenteen hylkäämisen.

Voit tarkastella IP-suojauskäytäntöjä avaamalla IP Security Monitor -laajennusohjelman. Valitse paikallinen tietokoneesi puusta. Valitse linkki konsolin laajuudesta Aktiivinen politiikka, Perustila tai Nopea tila. Tarkista kilpailevat käytännöt, jotka voivat johtaa liikenteen estymiseen.

Luvussa Havainto takila Windowsin palomuuri lisäsuojauksella Voit tarkastella sekä paikallisia että ryhmäkäytäntöjä koskevia olemassa olevia sääntöjä. Lisätietoja saat osiosta " Kelloominaisuuden käyttö snap-inissä Windowsin palomuuri lisäsuojauksella » tästä asiakirjasta.

Pysäytä IPSec Policy Agent seuraavasti:

    Napsauta painiketta alkaa ja valitse osio Ohjauspaneeli.

    Napsauta kuvaketta Järjestelmä ja sen ylläpito ja valitse osio Hallinto.

    Kaksoisnapsauta kuvaketta Palvelut. Jatkaa.

    Etsi palvelu luettelosta IPSec Policy Agent

    Jos palvelu IPSec-agentti on käynnissä, napsauta sitä hiiren kakkospainikkeella ja valitse valikkokohta Lopettaa. Voit myös lopettaa palvelun IPSec-agentti komentoriviltä komennolla

Vertaiskäytäntö saattaa aiheuttaa liikenteen hylkäämisen

IPSec-yhteyksiä varten molemmilla tietokoneilla on oltava yhteensopivat IP-suojauskäytännöt. Nämä käytännöt voidaan määrittää Windowsin palomuurin yhteyden suojaussääntöjen laajennuksen avulla IP-suojaus tai muu IP-suojauksen tarjoaja.

Voit tarkistaa vertaisverkon IP-suojauskäytäntöasetukset seuraavasti:

    Heti Windowsin palomuuri lisäsuojauksella valitse solmu Havainto Ja Yhteyden turvallisuussäännöt varmistaaksesi, että IP-suojauskäytäntö on määritetty molemmissa verkkosolmuissa.

    Jos jossakin vertaisverkon tietokoneista käyttää Windows Vistaa aiempaa Windows-versiota, varmista, että vähintään yksi alkuperäisen tilan salausohjelmistoista ja yksi nopean tilan salausohjelmistoista käyttää molempien tukemia algoritmeja. solmut.

    1. Napsauta kohtaa Perustila, valitse testattava yhteys konsolin tietoruudussa ja napsauta sitten linkkiä Ominaisuudet konsolin laajuudessa. Tarkista molempien solmujen yhteysominaisuudet varmistaaksesi, että ne ovat yhteensopivia.

      Toista vaihe 2.1 osiolle Nopea tila. Tarkista molempien solmujen yhteysominaisuudet varmistaaksesi, että ne ovat yhteensopivia.

    Jos käytät Kerberos version 5 todennusta, varmista, että isäntä on samassa tai luotetussa toimialueessa.

    Jos käytät varmenteita, varmista, että vaaditut ruudut on valittu. Varmenteet, jotka käyttävät Internet Key Exchange (IKE) IPSeciä, vaativat digitaalisen allekirjoituksen. Varmenteet, jotka käyttävät AuthIP (Authenticated Internet Protocol) -protokollaa, vaativat asiakkaan todennuksen (riippuen palvelimen todennustyypistä). Lisätietoja AuthIP-varmenteista on artikkelissa IP-todennus Windows Vistassa AuthIP Windows Vistassa Microsoftin verkkosivustolla.

Windowsin palomuuria, jossa on lisäsuojaus, ei voi määrittää

Windowsin palomuurin lisäsuojausasetukset näkyvät harmaana seuraavissa tapauksissa:

    Tietokone on yhdistetty keskitetysti hallittuun verkkoon, ja verkonvalvoja määrittää Windowsin palomuurin, jossa on lisäsuojausasetukset, ryhmäkäytännön avulla. Tässä tapauksessa nepparin yläosassa Windowsin palomuuri lisäsuojauksella Näet viestin "Joitakin asetuksia hallitsee ryhmäkäytäntö." Verkon ylläpitäjä määrittää käytännön ja estää siten sinua muuttamasta Windowsin palomuurin asetuksia.

    Windows Vistaa käyttävää tietokonetta ei ole yhdistetty keskitetysti hallinnoituun verkkoon, mutta Windowsin palomuuriasetukset määräytyvät paikallisen ryhmäkäytännön mukaan.

Jos haluat muuttaa Windowsin lisäsuojauksen asetuksia paikallisen ryhmäkäytännön avulla, käytä laajennusta Paikallinen tietokonekäytäntö. Avaa tämä laajennus kirjoittamalla komentokehotteeseen secpol. Jos Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, vahvista pyydetyt toiminnot ja napsauta Jatkaa. Siirry kohtaan Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Windowsin palomuuri lisäsuojauksella ja määritä Windowsin palomuuri lisäsuojauksella.

Tietokone ei vastaa ping-pyyntöihin

Pääasiallinen tapa testata tietokoneiden välistä yhteyttä on testata yhteyttä tiettyyn IP-osoitteeseen Ping-apuohjelmalla. Pintauksen aikana lähetetään ICMP-kaikuviesti (tunnetaan myös nimellä ICMP-kaikupyyntö) ja vastineeksi pyydetään ICMP-kaikuvastausta. Oletusarvon mukaan Windowsin palomuuri hylkää saapuvat ICMP-kaikuviestit, joten tietokone ei voi lähettää ICMP-kaikuvastausta.

Saapuvien ICMP-kaikuviestien salliminen sallii muiden tietokoneiden pingata tietokoneesi. Toisaalta tämä tekee tietokoneesta alttiin hyökkäyksille, jotka käyttävät ICMP-kaikuviestejä. On kuitenkin suositeltavaa sallia saapuvat ICMP-kaikuviestit tarvittaessa väliaikaisesti ja poistaa ne sitten käytöstä.

Jos haluat sallia ICMP-kaikuviestit, luo uudet saapuvat säännöt, jotka sallivat ICMPv4- ja ICMPv6-kaikupyyntöpaketit.

Voit ratkaista ICMPv4- ja ICMPv6-kaikupyynnöt seuraavasti:

    Snap-puussa Windowsin palomuuri lisäsuojauksella valitse solmu Säännöt saapuville yhteyksille ja napsauta linkkiä Uusi sääntö konsolin toiminta-alueella.

    Muokattava ja paina painiketta Edelleen.

    Määritä kytkimen arvo Kaikki ohjelmat ja paina painiketta Edelleen.

    avattavassa luettelossa Protokollan tyyppi valitse arvo ICMPv4.

    Napsauta painiketta Virittää nimikkeelle ICMP-protokollan parametrit.

    Aseta valintanappi asentoon Tietyt ICMP-tyypit, Valitse ruutu Kaikupyyntö, painaa nappia OK ja paina painiketta Edelleen.

    Valitse tätä sääntöä vastaavien paikallisten ja etä-IP-osoitteiden valintavaiheessa kytkimet arvoihin Mikä tahansa IP-osoite tai Määritetyt IP-osoitteet. Jos valitset arvon Määritetyt IP-osoitteet, määritä tarvittavat IP-osoitteet, napsauta painiketta Lisätä ja paina painiketta Edelleen.

    Määritä kytkimen arvo Salli yhteys ja paina painiketta Edelleen.

    Valitse profiilin valintavaiheessa yksi tai useampi profiili (verkkotunnuksen profiili, yksityinen tai julkinen profiili), joissa haluat käyttää tätä sääntöä, ja napsauta painiketta Edelleen.

    Kentällä Nimi kirjoita säännön nimi ja kenttään Kuvaus– valinnainen kuvaus. Napsauta painiketta Valmis.

    Toista yllä olevat vaiheet ICMPv6-protokollalle valitsemalla Protokollan tyyppi pudotusarvo ICMPv6 sijasta ICMPv4.

Jos sinulla on aktiiviset yhteyden suojaussäännöt, ICMP:n väliaikainen poissulkeminen IPsec-vaatimuksista voi auttaa ratkaisemaan ongelmia. Voit tehdä tämän avaamalla nopeasti Windowsin palomuuri lisäsuojauksella valintaikkuna Ominaisuudet, siirry välilehdelle IPSec-asetukset ja määritä arvo avattavasta luettelosta Joo parametrille Sulje ICMP pois IPSecistä.

Huomautus

Vain järjestelmänvalvojat ja verkko-operaattorit voivat muuttaa Windowsin palomuuriasetuksia.

Ei voida jakaa tiedostoja ja tulostimia

Jos et voi jakaa tiedostoja ja tulostimia tietokoneella, jossa Windowsin palomuuri on aktiivinen, varmista, että kaikki ryhmäsäännöt ovat käytössä Pääsy tiedostoihin ja tulostimiin Windowsin palomuuri lisäsuojauksella valitse solmu Säännöt saapuville yhteyksille Pääsy tiedostoihin ja tulostimiin Ota sääntö käyttöön konsolin laajuudessa.

Huomio:

On erittäin suositeltavaa olla ottamatta käyttöön tiedostojen ja tulostimien jakamista tietokoneissa, jotka ovat suoraan yhteydessä Internetiin, koska hyökkääjät voivat yrittää käyttää jaettuja tiedostoja ja vahingoittaa sinua vahingoittamalla henkilökohtaisia ​​tiedostojasi.

Windowsin palomuuria ei voi hallita etänä

Jos et voi etähallita tietokonetta, jossa Windowsin palomuuri on aktiivinen, varmista, että kaikki oletusryhmän säännöt ovat käytössä Windowsin palomuurin etähallinta aktiivinen profiili. Heti Windowsin palomuuri lisäsuojauksella valitse solmu Säännöt saapuville yhteyksille ja vieritä sääntöluetteloa ryhmään Kaukosäädin. Varmista, että nämä säännöt ovat käytössä. Valitse kukin käytöstä poistettu sääntö ja napsauta painiketta Ota sääntö käyttöön konsolin laajuudessa. Varmista lisäksi, että IPSec Policy Agent -palvelu on käytössä. Tätä palvelua tarvitaan Windowsin palomuurin etähallintaan.

Voit varmistaa, että IPSec Policy Agent on käynnissä, seuraavasti:

    Napsauta painiketta alkaa ja valitse osio Ohjauspaneeli.

    Napsauta kuvaketta Järjestelmä ja sen ylläpito ja valitse osio Hallinto.

    Kaksoisnapsauta kuvaketta Palvelut.

    Jos Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, kirjoita tarvittavat käyttäjätiedot asianmukaisilla käyttöoikeuksilla ja napsauta Jatkaa.

    Etsi palvelu luettelosta IPSec Policy Agent ja varmista, että sen tila on Käynnissä.

    Jos palvelu IPSec-agentti pysähtynyt, napsauta sitä hiiren kakkospainikkeella ja valitse kohde pikavalikosta Tuoda markkinoille. Voit myös aloittaa palvelun IPSec-agentti komentoriviltä net start policy agent -komennolla.

Huomautus

Oletuspalvelu IPSec Policy Agent käynnistetty. Tämän palvelun pitäisi olla käynnissä, ellei sitä ole pysäytetty manuaalisesti.

Windowsin palomuurin vianmääritys

Tässä osassa kuvataan työkaluja ja tekniikoita, joita voidaan käyttää yleisten ongelmien ratkaisemiseen. Tämä osio koostuu seuraavista alajaksoista:

Käytä valvontaominaisuuksia Windowsin palomuurissa, jossa on lisäsuojaus

Ensimmäinen askel Windowsin palomuuriongelmien ratkaisemiseksi on tarkistaa nykyiset säännöt. Toiminto Havainto voit tarkastella paikallisiin ja ryhmäkäytäntöihin perustuvia sääntöjä. Nykyisten saapuvien ja lähtevien sääntöjen tarkasteleminen laajennuspuussa Windowsin palomuuri lisäsuojauksella Valitse osio Havainto ja valitse sitten osio Palomuuri. Tässä osiossa voit myös tarkastella nykyistä yhteyden turvasäännöt Ja turvallisuusassosiaatiot (pää- ja pikatilat).

Ota suojaustarkistus käyttöön ja käytä sitä auditpol-komentorivityökalulla

Tarkastusvaihtoehdot ovat oletusarvoisesti poissa käytöstä. Voit määrittää ne auditpol.exe-komentorivityökalulla, joka muuttaa paikallisen tietokoneen valvontakäytäntöasetuksia. Auditpolilla voidaan ottaa käyttöön tai poistaa käytöstä erityyppisten tapahtumien näyttäminen ja tarkastella niitä myöhemmin laajennuksessa Tapahtuman katselija.

    Näet luettelon auditpol:n tukemista luokista kirjoittamalla komentokehotteeseen:

  • Jos haluat tarkastella luetteloa tiettyyn luokkaan kuuluvista alaluokista (esimerkiksi Käytännön muutos -luokka), kirjoita komentoriville:

    auditpol.exe /list /category:"Käytännön muutokset"

  • Voit ottaa luokan tai alakategorian näyttämisen käyttöön kirjoittamalla komentoriville:

    /Alaluokka:" Nimiluokka"

Jos esimerkiksi haluat määrittää tarkastuskäytännöt luokalle ja sen alakategorialle, kirjoita seuraava komento:

auditpol.exe /set /category:"Käytännön muuttaminen" /subcategory:"Käytännön muuttaminen MPSSVC-sääntötasolla" /success:enable /failure:enable

Politiikan muutos

Käytännön muuttaminen MPSSVC-sääntötasolla

Suodatusalustakäytännön muuttaminen

Syötä uloskäynti

IPsec-perustila

IPsec Fast Mode

IPsec Enhanced Mode

Järjestelmä

IPSEC ohjain

Muut järjestelmätapahtumat

Pääsy esineisiin

Pakettien pudotus suodatusalustan avulla

Suodatusalustan liittäminen

Jotta suojaustarkistuskäytäntöjen muutokset tulevat voimaan, sinun on käynnistettävä paikallinen tietokone uudelleen tai pakotettava manuaalinen käytäntöpäivitys. Jos haluat pakottaa käytäntöpäivityksen, kirjoita komentokehotteeseen:

secedit/refreshpolicy<название_политики>

Kun diagnostiikka on valmis, voit poistaa tapahtumien tarkastuksen käytöstä korvaamalla yllä olevien komentojen enable-parametrin disable-komennolla ja suorittamalla komennot uudelleen.

Tarkastele tietoturvatarkistustapahtumia tapahtumalokissa

Kun olet ottanut tarkastuksen käyttöön, käytä Event Vieweria tarkastellaksesi tarkastustapahtumia suojaustapahtumalokissa.

Voit avata Event Viewerin Hallintatyökalut-kansiossa seuraavasti:

  1. Napsauta painiketta alkaa.

    Valitse osio Ohjauspaneeli. Napsauta kuvaketta Järjestelmä ja sen ylläpito ja valitse osio Hallinto.

    Kaksoisnapsauta kuvaketta Tapahtuman katselija.

Voit lisätä Event Viewerin MMC:hen seuraavasti:

    Napsauta painiketta alkaa, siirry valikkoon Kaikki ohjelmat, sitten valikkoon Vakio ja valitse Suorittaa.

    Tekstikentässä Avata kirjoita mmc ja paina -näppäintä TULLA SISÄÄN.

    Jos Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, vahvista pyydetyt toiminnot ja napsauta Jatkaa.

    valikossa Konsoli Valitse tavara Lisää tai poista laajennus.

    Listalla Saatavilla lisävarusteita valitse varusteet Tapahtuman katselija ja paina painiketta Lisätä.

    Napsauta painiketta OK.

    Ennen kuin suljet laajennuksen, säilytä konsoli tulevaa käyttöä varten.

Heti Tapahtuman katselija laajentaa osiota Windowsin lokit ja valitse solmu Turvallisuus. Konsolin työalueella voit tarkastella tietoturvatarkistustapahtumia. Kaikki tapahtumat näkyvät konsolin työalueen yläosassa. Napsauta tapahtumaa konsolin työalueen yläosassa nähdäksesi yksityiskohtaiset tiedot paneelin alareunassa. Välilehdellä Ovat yleisiä Tapahtumien kuvaus on selkeän tekstin muodossa. Välilehdellä Yksityiskohdat Seuraavat tapahtuman näyttövaihtoehdot ovat käytettävissä: Selkeä esitys Ja XML-tila.

Määritä profiilin palomuurin loki

Ennen kuin voit tarkastella palomuurin lokeja, sinun on määritettävä Windowsin palomuuri lisäsuojauksella luomaan lokitiedostoja.

Voit määrittää Windows-palomuurin kirjaamisen Advanced Security -profiililla seuraavasti:

    Snap-puussa Windowsin palomuuri lisäsuojauksella Valitse osio Windowsin palomuuri lisäsuojauksella ja paina painiketta Ominaisuudet konsolin laajuudessa.

    Valitse profiilivälilehti, jolle haluat määrittää kirjaamisen (verkkotunnuksen profiili, yksityinen profiili tai julkinen profiili), ja napsauta sitten Virittää Luvussa Kirjaaminen.

    Määritä lokitiedoston nimi ja sijainti.

    Määritä lokitiedoston enimmäiskoko (1 - 32767 kilotavua)

    avattavassa luettelossa Kirjaa puuttuvat paketit syötä arvo Joo.

    avattavassa luettelossa Tallenna onnistuneet yhteydet syötä arvo Joo ja napsauta sitten painiketta OK.

Tarkastele palomuurin lokitiedostoja

Avaa tiedosto, jonka määritit edellisessä toimenpiteessä, "Palomuurilokin määrittäminen profiilille". Palomuurilokin käyttäminen edellyttää paikallisen järjestelmänvalvojan oikeuksia.

Voit tarkastella lokitiedostoa Notepadilla tai millä tahansa tekstieditorilla.

Analysoi palomuurin lokitiedostoja

Lokiin tallennetut tiedot näkyvät seuraavassa taulukossa. Jotkut tiedot on määritetty vain tietyille protokollille (TCP-liput, ICMP-tyyppi ja -koodi jne.), ja jotkut tiedot on määritetty vain hylätyille paketeille (koko).

Ala

Kuvaus

Esimerkki

Näyttää vuoden, kuukauden ja päivän, jolloin tapahtuma tallennettiin. Päivämäärä kirjoitetaan muodossa VVVV-KK-PP, jossa VVVV on vuosi, KK on kuukausi ja PP on päivä.

Näyttää tunnin, minuutin ja sekunnin, jolloin tapahtuma tallennettiin. Aika kirjoitetaan muodossa HH:MM:SS, jossa HH on tunti 24 tunnin muodossa, MM on minuutti ja SS on sekunti.

Toiminta

Ilmaisee palomuurin suorittaman toiminnon. Seuraavat toiminnot ovat olemassa: OPEN, CLOSE, Drop ja INFO-EVENTS-LOST. INFO-TAPAHTUMAT-LOST-toiminto osoittaa, että tapahtui useita tapahtumia, mutta niitä ei kirjattu lokiin.

pöytäkirja

Näyttää yhteydessä käytetyn protokollan. Tämä merkintä voi myös edustaa niiden pakettien määrää, jotka eivät käytä TCP-, UDP- tai ICMP-protokollia.

Näyttää lähettävän tietokoneen IP-osoitteen.

Näyttää vastaanottavan tietokoneen IP-osoitteen.

Näyttää lähettävän tietokoneen lähdeportin numeron. Lähdeportin arvo kirjoitetaan kokonaislukuna väliltä 1 - 65535. Oikea lähdeportin arvo näytetään vain TCP- ja UDP-protokollia varten. Muissa protokollissa "-" kirjoitetaan lähdeportiksi.

Näyttää kohdetietokoneen portin numeron. Kohdeportin arvo kirjoitetaan kokonaislukuna 1 - 65535. Oikea kohdeportin arvo näytetään vain TCP- ja UDP-protokollia varten. Muissa protokollissa "-" kirjoitetaan kohdeportiksi.

Näyttää paketin koon tavuina.

Näyttää IP-paketin TCP-otsikosta löytyvät TCP-protokollan ohjausliput.

    Ack. Kuittauskenttä tärkeä
    (vahvistuskenttä)

    Fin. Ei enempää tietoja lähettäjältä
    (ei enempää siirrettävää dataa)

    Psh. Push-toiminto
    (työntötoiminto)

    Rst. Nollaa yhteys

  • Syn. Synkronoi järjestysnumerot
    (jonon numeron synkronointi)

    Urg. Kiireellinen osoitinkenttä merkittävä
    (kiireellinen osoitinkenttä käytössä)

Lippu on merkitty sen nimen ensimmäisellä isolla kirjaimella. Esimerkiksi lippu Fin merkitty nimellä F.

Näyttää TCP-jonon numeron paketissa.

Näyttää TCP-kuittausnumeron paketissa.

Näyttää TCP-pakettiikkunan koon tavuina.

Tyyppi ICMP-viestissä.

Näyttää kenttää edustavan numeron Koodi ICMP-viestissä.

Näyttää tiedot suoritetun toiminnon perusteella. Esimerkiksi INFO-EVENTS-LOST -toiminnolle tämän kentän arvo ilmaisee tapahtumien määrän, jotka ovat tapahtuneet mutta joita ei ole kirjattu lokiin tämän tyyppisen tapahtuman viimeisen esiintymisen jälkeen.

Huomautus

Tavuviivaa (-) käytetään nykyisen tietueen kentissä, jotka eivät sisällä mitään tietoa.

Netstat- ja tasklist-tekstitiedostojen luominen

Voit luoda kaksi mukautettua lokitiedostoa, joista yhden tarkastellaan verkkotilastoja (luettelo kaikista kuunteluporteista) ja toisen palvelu- ja sovellustehtäväluetteloita varten. Tehtävälista sisältää verkkotilastotiedostoon sisältyvien tapahtumien prosessitunnisteen (PID). Näiden kahden tiedoston luontimenettely on kuvattu alla.

Voit luoda tekstitiedostoja verkkotilastoista ja tehtäväluettelosta seuraavasti:

    Kirjoita komentokehotteeseen netstat -ano > netstat.txt ja paina näppäintä TULLA SISÄÄN.

    Kirjoita komentokehotteeseen tehtävälista > tehtävälista.txt ja paina näppäintä TULLA SISÄÄN. Jos sinun on luotava tekstitiedosto palveluluettelosta, syötä tehtävälista /svc > tasklist.txt.

    Avaa tiedostot tasklist.txt ja netstat.txt.

    Etsi diagnosoitavan prosessin koodi tasklist.txt-tiedostosta ja vertaa sitä netstat.txt-tiedoston arvoon. Kirjaa käytetyt protokollat.

Esimerkki Tasklist.txt- ja Netstat.txt-tiedostojen antamisesta

Netstat.txt
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:XXX 0.0.0.0:0 KUUNTELU 122
TCP 0.0.0.0:XXXXX 0.0.0.0:0 KUUNTELU 322
Tasklist.txt
Kuvan nimi PID-istunnon nimi Session# Mem Usage
==================== ======== ================ =========== ============
svchost.exe 122 Palvelut 0 7 172 K
XzzRpc.exe 322 Palvelut 0 5 104 K

Huomautus

Todelliset IP-osoitteet muutetaan "X":ksi ja RPC-palveluksi "z".

Varmista, että keskeiset palvelut ovat käynnissä

Seuraavien palvelujen on oltava käynnissä:

    Perussuodatuspalvelu

    Ryhmäkäytäntöasiakas

    IPsec-avainmoduulit Internet-avainten vaihtoon ja IP-todennukseen

    IP-lisäpalvelu

    IPSec Policy Agent -palvelu

    Verkkopaikannuspalvelu

    Verkkoluettelopalvelu

    Windowsin palomuuri

Voit avata Palvelut-laajennuksen ja varmistaa, että vaaditut palvelut ovat käynnissä, seuraavasti:

    Napsauta painiketta alkaa ja valitse osio Ohjauspaneeli.

    Napsauta kuvaketta Järjestelmä ja sen ylläpito ja valitse osio Hallinto.

    Kaksoisnapsauta kuvaketta Palvelut.

    Jos Käyttäjätilien valvonta -valintaikkuna tulee näkyviin, kirjoita tarvittavat käyttäjätiedot asianmukaisilla käyttöoikeuksilla ja napsauta Jatkaa.

    Varmista, että yllä luetellut palvelut ovat käynnissä. Jos yksi tai useampi palvelu ei ole käynnissä, napsauta hiiren kakkospainikkeella palvelun nimeä luettelossa ja valitse Tuoda markkinoille.

Lisätapa ongelmien ratkaisemiseen

Viimeisenä keinona voit palauttaa Windowsin palomuuriasetukset oletusasetuksiinsa. Oletusasetusten palauttaminen menettää kaikki Windows Vistan asennuksen jälkeen tehdyt asetukset. Tämä saattaa aiheuttaa joidenkin ohjelmien lakkaamisen. Jos myös ohjaat tietokonetta etänä, yhteys siihen katkeaa.

Ennen kuin palautat oletusasetukset, varmista, että olet tallentanut nykyiset palomuuriasetukset. Näin voit tarvittaessa palauttaa asetukset.

Tässä on ohjeet palomuurikokoonpanon tallentamiseen ja oletusasetusten palauttamiseen.

Voit tallentaa nykyisen palomuurikokoonpanon seuraavasti:

    Heti Windowsin palomuuri lisäsuojauksella klikkaa linkkiä Vientipolitiikka konsolin laajuudessa.

Voit palauttaa palomuurin oletusasetukset seuraavasti:

    Heti Windowsin palomuuri lisäsuojauksella klikkaa linkkiä Palauttaa oletukset konsolin laajuudessa.

    Kun saat kehotteen Windowsin palomuuri ja lisäsuojaus, napsauta Joo palauttaaksesi oletusarvot.

Johtopäätös

On monia tapoja diagnosoida ja ratkaista Windowsin palomuurin lisäsuojauksen kanssa ongelmia. Heidän joukossa:

    Toiminnon käyttäminen Havainto tarkastella palomuuritoimintoja, yhteyden suojaussääntöjä ja suojausyhteyksiä.

    Analysoi Windowsin palomuuriin liittyviä tietoturvatarkistustapahtumia.

    Tekstitiedostojen luominen tehtävälista Ja netstat vertailevaa analyysiä varten.

Tällä hetkellä monissa virustorjuntaratkaisuissa on palomuuri. Kun se asennetaan, Windowsin sisäänrakennettu palomuuri poistetaan käytöstä ristiriitojen välttämiseksi. On myös virustorjuntaohjelmia ilman sisäänrakennettua palomuuria, esimerkiksi Microsoft Security Essentials. Asennettaessa on toivottavaa, että palomuuri on asennettu sisäänrakennettu tai se asennetaan erikseen kolmannelta osapuolelta. Oletuksena Windows 7:n palomuuri on käytössä ja määritetty yleisesti. Tämä sopii useimmille käyttäjille, kuten kaikki asennetut ratkaisut. Täällä selvitetään yhdessä, kuinka voimme lisätä tietokoneidemme turvallisuutta ilmoittamalla, mikä liikenne sallitaan ja mikä ei.

Palomuuria voi hallita avaamalla se. Avataksesi sen sinun on löydettävä se. Käytä Windows 7 -hakua. Avaa Käynnistä-valikko ja kirjoita "rintaliivit" ja valitse yksinkertainen Windowsin palomuuri.

Valitse ikkunan vasemmasta reunasta Ota Windowsin palomuuri käyttöön tai poista se käytöstä.

Avautuvassa ikkunassa voit poistaa palomuurin käytöstä tai ottaa sen käyttöön valitsemassasi verkossa tai kaikilla kerralla.

Jos tiedät ohjelman ja haluat antaa sille pääsyn, valitse valintaruudut, joissa verkko sallitaan, ja napsauta Salli käyttö. Oletusarvoisesti valintaruutu on verkossa, jossa olet tällä hetkellä.

Tämän jälkeen sinun on sammutettava Windowsin palomuuripalvelu. Käytetään hakua Käynnistä-valikosta.

Siirry avautuvassa ikkunassa Palvelut-välilehteen ja etsi Windowsin palomuuri. Poista valinta ruudusta ja napsauta OK.

Avautuvassa ikkunassa voit antaa ohjelman muodostaa yhteyden vastaavan verkon palomuurin kautta.

Jos tarvitsemaasi ohjelmaa ei ole saatavilla, voit helposti lisätä sen Salli toinen ohjelma... -painikkeella.

Täällä ei ole mahdollista estää minkään ohjelman pääsyä Internetiin. (Se ei ainakaan toiminut minulla. Poistin µTorrent-ohjelman valinnan ja se latautuu edelleen).

Ohjelmien sallimisikkunassa voit kokeilla ja olla huolehtimatta siitä, että selaimella ei ole pääsyä Internetiin (minun tapaukseni). Kaikki voidaan palauttaa Palauta oletukset -toiminnolla.

Oletuksena kaiken pitäisi toimia hyvin.

Lähtevän liikenteen estäminen

Jos haluamme saavuttaa parempaa turvallisuutta, yksi mahdollisista vaihtoehdoista olisi estää lähtevä liikenne kokonaan ja asettaa käyttöoikeudet tarvitsemillemme ohjelmille ja palveluille. Tässä on huomioitava, että lähteväksi yhteydeksi katsotaan sellainen, jonka tietokoneesi ohjelma on käynnistänyt. Eli jos selaimesi pyytää mitä tahansa sivua Internetissä ja tämä sivu lähetetään tietokoneellesi, tämä on lähtevä yhteys.

Voit tehdä tämän valitsemalla Palomuuri-ikkunasta Lisäasetukset.

Jotta voit estää kaikki lähtevät yhteydet, sinun on valittava vasemmasta sarakkeesta Windowsin palomuuri lisäsuojauksella ja napsauta oikeasta sarakkeesta Ominaisuudet.

Siirry avautuvassa ikkunassa välilehdelle, jossa on haluamasi verkon asetukset (julkinen verkko - yleinen profiili, kotiverkko - yksityinen profiili). Valitse Lähtevät yhteydet -osiossa avattavasta valikosta Estä. Napsauta OK tai Käytä.

Turvallisuuden parantamiseksi voit estää lähtevät yhteydet molemmissa verkoissa.

Lupa ohjelmille

Lähtevien yhteyksien estämisen jälkeen meidän on annettava käyttämillemme ohjelmille Internet-yhteys. Esimerkiksi Google Chrome -selain. Voit tehdä tämän siirtymällä vasemmalla olevaan Säännöt lähteville yhteyksille ja napsauttamalla oikeanpuoleisessa Toiminnot-sarakkeessa Luo sääntö...

Valitse avautuvasta ohjatusta toiminnosta Ohjelmalle. Napsauta Seuraava >

Määritä polku ohjelmaan:

%SystemRoot%\System32\svchost.exe

koska päivitys suoritetaan tämän prosessin aikana. Napsauta Palvelut-osiossa Määritä...

Valitse avautuvasta ikkunasta Käytä palveluun ja valitse luettelosta Windows Update (lyhytnimi - wuauserv). Napsauta OK.